Mit der fortschreitenden Digitalisierung und dem Aufkommen neuer Technologien wie künstlicher Intelligenz (KI) gewinnt der regulatorische Rahmen in der Europäischen Union (EU) zunehmend an Bedeutung. Zwei der wichtigsten Regelwerke in diesem Zusammenhang sind die Datenschutz-Grundverordnung (DSGVO) und der AI Act (KI-Verordnung), der die Nutzung von KI in der EU regelt.
Zwischen beiden Rechtsakten bestehen sowohl Ähnlichkeiten als auch bedeutende Unterschiede. Dieser Artikel wagt einen Vergleich ihrer Zielsetzungen, Anwendungsbereiche und Regulierungsansätze.
Ähnliche Ziele und Grundsätze
Sowohl die DSGVO als auch der AI Act verfolgen das Ziel, die Grundrechte und Freiheiten von Individuen zu schützen. Während es sich bei der DSGVO primär um den Schutz der Privatsphäre handelt, sind die durch den AI Act verfolgten Ziele etwas breiter aufgestellt: Gemäß Art. 1 AI Act soll der AI Act ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit und die in der EU-Charta verankerten Grundrechte, einschließlich Demokratie, Rechtsstaatlichkeit und Umweltschutz gewährleisten.
Räumlicher Anwendungsbereich
Sowohl die DSGVO als auch der AI Act gelten nicht nur für Unternehmen aus der EU, sondern haben eine gewisse extraterritoriale Wirkung. Beide gelten auch für nichteuropäische Unternehmen, die auf dem EU-Markt tätig werden (Marktortprinzip).
Unter dem AI Act betrifft dies etwa Anbieter, die nicht in der EU niedergelassen sind, wenn sie in der EU KI-Systeme in Verkehr bringen oder in Betrieb nehmen, wie auch Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland haben oder sich in einem Drittland befinden, wenn die vom KI-System hervorgebrachte Outputs in der EU verwendet werden (Art. 2 Abs. 1 AI Act).
Sachlicher Anwendungsbereich
Während die DSGVO ausschließlich den Schutz und die Verarbeitung personenbezogener Daten regelt, umfasst der Anwendungsbereich der KI-Verordnung die Entwicklung, Bereitstellung und Nutzung von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck. Der AI Act greift daher auch dann, wenn mittels KI keine personenbezogenen Daten verarbeitet werden.
Oft werden auf ein KI-System sowohl der AI Act als auch die DSGVO anwendbar. Es werden aber auch Fälle vorkommen, bei denen auf ein KI-System nur die DSGVO oder nur der AI Act anwendbar ist.
- Ersteres wird etwa der Fall sein, wenn mit einem KI-System, das ein minimales Risiko aufweist und somit außerhalb des Anwendungsbereiches des AI Acts ist, personenbezogene Daten verarbeitet werden (bspw. Vorschlagsalgorithmus bei einem Musik-Streamingdienst, KI-gestütztes Spamfilter). Auch in dem Fall müssen Unternehmen jedoch nach Art. 4 AI Act für ausreichende KI-Kenntnisse der Beschäftigten sorgen.
- Dagegen wird etwa auf ein KI-gestütztes Sicherheitsbauteil in der Wasser-, Gas-, Wärme- oder Stromversorgung nur der AI Act anwendbar (solange damit keine personenbezogenen Daten verarbeitet werden).
Technologieneutraler Ansatz
Beide Rechtsakte verfolgen einen technologieneutralen Ansatz. Dies bedeutet, dass sie keine spezifische Technologie regeln, sondern auf alle – auch noch gar nicht entwickelte – Technologien und Methoden gleichermaßen anwendbar sind. So sind die Regelungen der DSGVO etwa vor dem jetzigen Höhenflug der KI entwickelt worden, gelten für diese aber gleichermaßen.
Dies sah im ersten Entwurf des AI Act noch anders aus: Die Europäische Kommission hatte initial vorgeschlagen, nur bestimmte, im AI Act explizit erwähnte Techniken und Konzepte der KI zu regulieren. Dies würde bedeuten, dass der AI Act auf etwaige neue Methoden der KI nicht anwendbar wäre, wobei die Kommission die Möglichkeit hätte, im Wege von delegierten Rechtsakten die Liste zu aktualisieren.
Risikobasierter Ansatz des AI Acts
Ein wesentlicher Unterschied zwischen den beiden Regelwerken besteht in dem Umgang mit Risiken (sogenannter risikobasierter Ansatz). Die DSGVO berücksichtigt Risiken zwar in einem geringen Umgang (etwa indem sie bei der Verarbeitung sensibler Daten erhöhte Anforderungen stellt; auch technische und organisatorische Maßnahmen nach Art. 32 DSGVO sollen sich nach dem mit der Verarbeitung verbundenen Risiko richten), die meisten Anforderungen gelten aber gleichermaßen unabhängig des Risikos der Verarbeitung (bspw. Rechtsgrundlagen, Informationspflichten).
Demgegenüber differenziert der AI Act zwischen verschiedenen Risikostufen und teilt KI-Systeme in vier Kategorien ein: verbotene, hochriskante, begrenzt riskante (KI-Systeme mit einem Transparenzrisiko) und minimal riskante Systeme. Hochriskante Anwendungen – wie beispielsweise KI-Systeme im Personalwesen und in der Strafverfolgung – unterliegen strengen Auflagen, während mache Systeme gar nicht reguliert werden.
Transparenz und Rechenschaftspflicht
Ein weiterer gemeinsamer Grundsatz beider Regelwerke ist die Forderung nach Transparenz und die Rechenschaftspflicht. In der DSGVO wird dies durch Verpflichtungen wie die Informationspflichten (Art. 13 f. DSGVO) und das Recht auf Auskunft (Art. 15 DSGVO) umgesetzt. Auch müssen Unternehmen stets in der Lage sein, die Einhaltung der Pflichten aus der DSGVO nachweisen zu können (Art. 5 Abs. 2 DSGVO).
Auch im AI Act wird Transparenz großgeschrieben. So müssen etwa Anbieter von Hochrisiko-KI-Systemen den Betreibern Gebrauchsanweisungen zur Verfügung stellen, damit diese die Outputs von KI-Systemen angemessen interpretieren und verwenden können (Art. 13 AI Act). Weitere Transparenzanforderungen finden sich etwa in Art. 50 AI Act bzgl. der KI-Systeme mit einem Transparenzrisiko.
Auch die Einhaltung der Anforderungen des AI Acts muss nachgewiesen werden können. Hierzu dienen etwa technische Dokumentation nach Art. 11 AI Act und nach Art. 12 AI Act zu erstellende Protokolle (Logs).
Aufsicht zu beiden Verordnungen
Nach der DSGVO sind die nationalen Aufsichtsbehörden für die Durchsetzung der DSGVO-Regeln zuständig. Auch bei KI-Systemen werden nationale Aufsichtsbehörden die Einhaltung der Regeln bzgl. KI-Systemen überwachen, wobei die EU-Mitgliedsstaaten noch entscheiden müssen, ob dies jeweils die nationale Datenschutzbehörde oder eine andere Behörde sein wird. Obwohl einiges für Datenschutzbehörden spricht, zeichnet es sich ab, dass in Deutschland diese Aufgabe die Bundesnetzagentur übernehmen wird.
Die Durchsetzung bzgl. KI-Modellen mit allgemeinem Verwendungszweck übernimmt das neu gegründete und bei der Europäischen Kommission angesiedelte AI Office.
Wer sich gerne mit den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) auseinandersetzt, darf gespannt sein, denn ein ähnliches Gremium wird auch unter dem AI Act eingerichtet. Der Europäische Ausschuss für künstliche Intelligenz, in dem alle EU-Mitgliedstaten vertreten sein werden, wird als Koordinierungsplattform und Beratungsgremium für die Europäische Kommission fungieren.
Bußgelder in DSGVO und AI Act
Die Ausgestaltung der Bußgeldobergrenzen ist in beiden Regelwerken ähnlich: Es werden ein Prozentsatz des weltweiten Jahresumsatzes des Unternehmens im vergangenen Jahr und ein Euro-Betrag angegeben, wobei im konkreten Fall grundsätzlich der jeweils höhere Betrag als Obergrenze dient. Dabei sind die möglichen Sanktionen nach dem AI Act sogar noch höher als in der DSGVO (bis zu 7 % des Jahresumsatzes bzw. 35 Mio. Euro).
Der Einfluss auf Innovation und Wirtschaft
Sowohl die DSGVO als auch der AI Act versuchen, einen angemessenen Ausgleich zwischen dem Schutz von Grundrechten und der Förderung von Innovation zu finden.
Auch wenn dieser Aspekt in der DSGVO weniger ausgeprägt ist, finden sich vereinzelt Regelungen dazu (wie etwa – praktisch größtenteils ins Leere laufende – Ausnahme von der Pflicht zur Führung von Verzeichnissen von Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 Beschäftigten).
Dagegen sieht der AI Act diesbezüglich mehr Regelungen vor. So sollen etwa KI-Reallabore eingesetzt werden, in welchen innovative KI-Systeme entwickelt, trainiert, validiert und getestet werden (Art. 57 ff. AI Act). Im AI Act finden sich auch bestimmte spezifische Maßnahmen und Ausnahmen für KMU und Start-ups (Art 62 f. AI Act). KMU und Start-ups sind zudem bei den Bußgeldern etwas privilegiert, denn für sie gilt der jeweils niedrigere Betrag (Prozentsatz des Jahresumsatzes bzw. Euro-Betrag) als Obergrenze für die Berechnung von Geldbußen.
Fazit
Sowohl die DSGVO als auch der AI Act zielen darauf ab, den Schutz der Grundrechte zu gewährleisten. Während die DSGVO den Schwerpunkt auf den Schutz der Privatsphäre legt, verfolgt die KI-Verordnung einen weiteren Ansatz und umfasst auch etwa den Umweltschutz und den Schutz der Rechtsstaatlichkeit.
Die Regelungen des AI Acts ähneln oft denjenigen der DSGVO und es lässt sich durchaus erkennen, dass die DSGVO – neben der Produkthaftungsgesetzgebung der EU – als Blaupause für den AI Act dienen durfte. Während die DSGVO jedoch auf Basis jahrelanger Erfahrungen mit dem nationalen Datenschutzrecht entwickelt wurde, betritt der AI Act ein gesetzgeberisches Neuland, bei dem noch abzuwarten ist, wie sich die Regulierung schnell fortschreitender Technologie überhaupt umsetzen lässt.
Der DSGVO und dem AI Act sind viele Grundprinzipien gemeinsam, wie Transparenz und Rechenschaftspflicht. Sie unterscheiden sich jedoch in ihrem sachlichen Anwendungsbereich und in der Art und Weise, wie sie mit Risiken umgehen. Der risikobasierte Ansatz ist in dem AI Act viel ausgeprägter als in der DSGVO.
Beide Regelwerke werden entscheidend dafür sein, wie Europa die digitale Transformation und die Förderung von Innovation in einer digitalen Zukunft meistert.
